Pourquoi la double authentification n’est plus suffisante ?
L’usage de la double authentification, ou 2FA, s’est largement répandu pour sécuriser les comptes utilisateurs. La méthode est simple : en ajoutant une couche de sécurité supplémentaire en requérant, en plus du mot de passe, un code temporaire envoyé au téléphone de l’utilisateur, la 2FA limite les risques de compromission.
Malgré sa popularité, la double authentification n’est pas exempte de failles. Comment fonctionne la 2FA ? Comment les cybercriminels arrivent-ils à contourner ce mécanisme ? Quelles sont les limites de cette méthode et comment renforcer la sécurité des comptes utilisateurs ? Éclairage dans cet article.
Qu’est-ce que la double authentification ?
La double authentification, ou authentification à deux facteurs (2FA), est une méthode d’authentification qui exige que l’utilisateur fournisse deux formes distinctes de validation pour accéder à un compte ou une machine. Son principe est simple, puisqu’il ajoute une couche supplémentaire de protection en combinant un élément que l’utilisateur connaît (comme un mot de passe) à un second qu’il possède (souvent un appareil mobile).
Après avoir entré son mot de passe, l’utilisateur reçoit un code à usage unique et à durée de vie limitée. Reçu généralement par SMS ou au travers d’une application d’authentification comme Google Authenticator ou Authy, ce code se doit d’être saisi dans un temps imparti afin de compléter le processus de connexion. En étant à usage unique et avec un délai d’expiration de quelques minutes, la double authentification bloque les tentatives de réutilisation par un tiers.
Cette méthode est particulièrement efficace pour contrer les attaques de phishing et les tentatives d’accès non autorisé, car même si un cybercriminel obtenait le mot de passe, il lui manquerait ce deuxième facteur nécessaire pour accéder au compte.
Cette méthode a fait ses preuves, puisque rien que sur l’année 2023, l’entreprise Microsoft a détecté, puis bloqué pas moins de 1 000 tentatives par seconde, d’accès non autorisés par la réutilisation de mot de passe.
Une tendance qui se confirme selon Microsoft avec 99,9 % des comptes utilisateurs compromis étant des comptes qui ne bénéficiaient pas de l’authentification à deux facteurs.
Si la 2FA offre des garanties certaines en matière de protection des comptes utilisateurs, elle n’est néanmoins pas infaillible.
Quelles sont les limites de la double authentification ?
Les attaques de type « man-in-the-middle » (MitM) utilisent des modes opératoires permettant à un attaquant d’intercepter les communications entre l’utilisateur et le serveur d’authentification. Ces stratégies qui permettent de compromettre la 2FA interceptent, le plus souvent, la diffusion du code par SMS et par e-mail.
Comment ça marche ?
Pour pouvoir intercepter ces informations, les cybercriminels utilisent les méthodes dites de SIM swapping et le traditionnel phishing.
Le SIM swapping est une forme d’escroquerie où l’attaquant transfère le numéro de téléphone d’une victime sur une nouvelle carte SIM qu’il contrôle. En prétextant un vol ou un dysfonctionnement auprès de l’opérateur téléphonique, l’attaquant obtient l’accès aux appels, SMS, et peut contourner la sécurité 2FA.
Le traditionnel phishing reste une méthode efficace contre la 2FA. Les cyberattaquants conçoivent des sites web frauduleux pour tromper les utilisateurs afin qu’ils saisissent leurs informations de connexion, y compris les codes 2FA. Une fois que l’attaquant a accès à ces informations, il peut accéder au compte pendant que le code est encore valide.
Le Microsoft Security Blog a rapporté une vaste campagne de phishing « adversary-in-the-middle » (AiTM) ayant réussi à contourner la double authentification. Au total, plus de 10 000 organisations ont été visées depuis septembre 2021.
Comment renforcer la sécurité au-delà de la double authentification ?
« Jamais deux sans trois ! ». Pour renforcer la protection contre les accès non autorisés, l’ajout d’un troisième facteur à la double authentification est une bonne pratique En exigeant une étape supplémentaire d’authentification, on passe alors d’une double authentification à une authentification multifactorielle (MFA). Ces éléments sont multiples :
- Utilisation de la biométrie : Au-delà des SMS et des applications mobiles, l’intégration de facteurs biométriques comme les empreintes digitales, la reconnaissance faciale ou la reconnaissance vocale offre un niveau de sécurité accru. Cette technologie existe déjà sur le marché, les appareils Apple avec Touch ID ou Face ID proposent aujourd’hui une authentification biométrique intégrée.
- Authentificateurs d’application : Les applications comme Google Authenticator ou Authy génèrent des codes de vérification qui changent toutes les 30 secondes.
- Clés de sécurité matérielles : Les clés physiques comme YubiKey ou Google Titan Security Key fonctionnent comme un facteur de possession physique qui doit être connecté à l’appareil lors de l’authentification. Ces clés supportent des protocoles comme FIDO U2F ou FIDO2, qui sont efficaces contre des attaques de phishing et de man-in-the-middle.
- Notifications Push : Les services comme Duo Mobile ou Microsoft Authenticator offrent des notifications push pour l’authentification multifactorielle. L’utilisateur reçoit une notification sur son dispositif mobile pour approuver ou rejeter les tentatives de connexion.
Au-delà de l’ajout d’un facteur supplémentaire, d’autres méthodes peuvent venir renforcer la 2FA parmi lesquelles :
- Limitation des tentatives d’accès : Configurer votre compte utilisateur pour limiter le nombre de tentatives d’authentification infructueuses.
- Utilisation de réseaux sécurisés : Encourager l’utilisation de réseaux privés virtuels (VPN) pour sécuriser les connexions, particulièrement quand les employés accèdent aux ressources de l’entreprise depuis leur domicile.
- Contrôle régulier des accès : Effectuer des audits réguliers des droits d’accès pour s’assurer que les employés ont uniquement accès aux ressources nécessaires à leur rôle.
- Éducation et formation des utilisateurs : Sensibiliser les utilisateurs aux risques de sécurité liés à la négligence des bonnes pratiques d’authentification.
À retenir
Si la double authentification (2FA) constitue désormais une étape obligatoire vers la sécurisation des comptes en ligne, elle n’est pas infaillible face aux cyberattaques toujours plus sophistiquées. SIM swapping, man-in-the-middle et autres campagnes de phishing permettent aux cybercriminels de contourner les processus d’authentification et ainsi accéder aux comptes.
Pour contrer ces menaces, il faut penser au-delà de la 2FA et adopter une authentification multifactorielle (MFA) qui intègre des éléments supplémentaires comme la biométrie, les authentificateurs d’application, les clés de sécurité matérielles, et les notifications push.
Si ces méthodes renforcent la sécurité des systèmes face aux tentatives d’intrusion, elles doivent aller de pair avec une surveillance constante, une politique de mots de passe robuste, et une sensibilisation continue sur la cybersécurité. Vous souhaitez en savoir plus sur ce sujet ? Net4business propose un ensemble de solution de cybersécurité permettant de protéger votre entreprise et ses collaborateurs.